Exiten reportes en este mes de octubre, que la tecnología de servicio de correo Zimbra está volviendo a ser explotada. Las vulnerabilidades que están siendo explotadas con más frecuencia en este nuevo ataque son las siguientes: CVE-2022-24682, CVE-2022-27924, CVE-2022-27925 encadenado con CVE-2022-37042 y CVE-2022-30333.

Para este tipo de ataque, se está utilizando un archivo benigno de Windows de 32 bits, una biblioteca de enlaces dinámicos (DLL) maliciosa y un archivo cifrado. El archivo ejecutable está diseñado para descargar el archivo DLL malicioso. La DLL está diseñada para cargar y descifrar el archivo cifrado con OR exclusivo (XOR). El archivo descifrado contiene un binario Cobalt Strike Beacon. Cobalt Strike Beacon es un implante malicioso en un sistema comprometido que vuelve a llamar al servidor de comando y control (C2) y busca comandos adicionales para ejecutar en el sistema comprometido.

IoC de los archivos analizados:

Archivos enviados (3)

233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91
(bin.config)

25da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51
(VFTRACE.dll)

df847abbfac55fb23715cde02ab52cbe59f14076f9e4bd15edbe28dcecb2a348
(vxhost.exe)

Archivos adicionales (1)

3450d5a3c51711ae4a2bdb64a896d312ba638560aa00adb2fc1ebc34bee9369e
(Extraído_CobaltStrike_Beacon)

IP (1)

207.148.76.235